La directive DSP2 vise à apporter de nouvelles exigences en matière de paiement en ligne en faisant évoluer les directives déjà existantes notamment depuis la DSP1 de 2007. L’un des principaux points évoqués est l’obligation de mettre en place des mécanismes d’authentification forte sans lesquels la responsabilité du tiers de paiement pourrait être engagée en cas de fraude. Le secteur bancaire est donc l’un des acteurs principalement concernés par cette directive.
L’objectif de l’authentification forte est de rassembler plusieurs facteurs d’authentification afin d’établir avec un plus haut degré de certitude l’identité du payeur lors de transactions en ligne. Il faut alors cumuler deux facteurs ou plus parmi ces trois catégories :
- « Connaissance » : il s’agit d’un secret théoriquement connu de l’utilisateur seulement (mot de passe, question secrète, code pin, etc.) ;
- « Possession » : cette catégorie englobe tout facteur qui serait physiquement possédé par l’utilisateur (téléphone, carte bancaire, ou jeton de sécurité physique) ;
- « Inhérence » : elle fait référence à un attribut unique que possède l’utilisateur et dont il ne peut se défaire (emprunte digitale ou rétinienne ou tout autre élément biométrique).
L’authentification par double facteur est fréquente lors des paiements en ligne, l’Observatoire de la sécurité des moyens de paiement rapportait début 2018 que 73 % des commerçants reposaient dessus. La méthode la plus courante étant l’association d’un numéro de carte bancaire et la validation par un code reçu par SMS.
De plus, les prestataires de services de paiement en ligne doivent s’assurer depuis la norme technique de règlementation (NTR) relative à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication de 2017 de l’indépendance des facteurs d’authentification. La compromission de l’un des facteurs ne doit pas remettre en cause la fiabilité des autres facteurs requis.
Bien que la tendance de la double authentification soit déjà en forte croissance grâce à des services comme 3D-Secure, cette directive vient encourager son adoption massive et encadrer sa mise en place.
Références
https://www.avocats-mathias.com/e-commerce/dsp2-authentification-forte